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密码 技术 是 网 络 安全 的 根基 。 在 网 络 行为 已 经 渗透 到 社会 MAAR 
生活 每 个 领域 的 今天 ， 无 论 是 网 上 银行 、 电 子 商务 还 是 电子 邮 作为 在 流 密 码 中 的 应 用 ， 伪 随机 序列 不 仅 需 要 具备 良好 的 
件 、 即 时 消息 服务 ， 密 码 技术 无 时 无 刻 不 在 保护 着 用 户 的 信息 。 统计 特性 和 有 效 性 ,同时 需要 可 证 明 安 全 的 伪 随 机 序列 生成 器 ， 
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一 种 基于 海绵 函数 的 快速 伪 随 机 序列 生成 方法 


赵 Th ab, 郑 东 a, b ! f£ Jj a, bf 
(西安 邮电 大 学 a 通信 与 信息 工程 学 院 ; b. 无 线 网 络 安全 技术 国家 工程 实验 室 , 西安 710121) 


摘 要 : 海绵 函数 使 用 较 短 的 密 钥 和 初始 向 量 ， 因 而 作为 一 种 新 型 的 伪 随 机 生成 器 结构 被 使 用 。 针 对 Meziani 等 人 提 
出 的 2SC (sponge code-based stream cipher) 伪 随 机 序列 生成 方法 效率 低 、 速 度 慢 等 问题 ， 结 合 编码 理论 ， 提 出 了 一 种 
基于 海绵 函数 的 快速 伪 随 机 序列 生成 方法 。 使 用 一 个 通用 的 状态 转换 将 其 安全 性 归 约 为 正则 校 验 子 译 码 问题 ， 但 是 其 
计算 能 力 相 比 于 正则 编码 更 好 。 理 论 分 析 和 实验 结果 表明 ， 该 伪 随 机 序列 生成 器 保留 了 海绵 函数 的 特性 ， 但 是 效率 大 
大 提高 。 对 于 160bits 的 安全 级 别 ， 其 速度 比 原 方案 提高 到 了 5 倍 以 上 。 同 时 NIST 统计 测试 及 序列 的 平衡 度 、 互 相关 
性 等 测试 结果 表明 生成 的 伪 随 机 序列 具有 良好 的 随机 特性 。 

关键 词 : 海绵 函数 ; 伪 随 机 序列 ; 编码 理论 ; 正则 字 ; 校 验 子 译 码 
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Fast pseudo-random sequence generation method based on sponge function 


Zhao Lei®?, Zheng Dong* 5, Ren Fang? "t 
(a. School of Telecommunication & Information Engineering, b. National Engineering Laboratory for Wireless Security, Xi' an 


University of Posts & Telecommunications, Xi'an 710121, China) 


Abstract: The sponge function uses shorter keys and initial vectors, so it is used as a new pseudo-random generator structure. 
This paper proposed a fast pseudo-random sequence generation method based on spongy function in combination with the coding 
theory, to solve the problems of low efficiency and slow speed of 2SC (sponge code-based stream cipher) pseudo-random 
sequence generation method proposed by Meziani et al. uses a generic state transformation which is reducible to the Regular 
Syndrome Decoding problem(RSD) , but has better computational characteristics than the regular encoding. Theoretical analysis 
and experimental results show that the pseudo-random sequence generator preserves the characteristics of sponge function, but 
it improved the efficiency greatly. For the security level of 160bits, its 5 times faster than the original scheme. At the same 
time, NIST statistical test, sequence balance and cross correlation test results show that the generated pseudo-random sequence 
has good random characteristics. 
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GC 


设计 和 实现 的 ， 因 此 设计 性 和 
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良好 的 伪 随 机 数 发 生 器 (pseudo- 


random number Generator，PRNG) 已 经 成 为 密码 学 领域 的 一 个 


si 


流 密码 山 作 为 一 种 主流 的 加 密 方式 ， 加 解密 实现 方式 简 。 ” 即 需 要 把 伪 随 机 序列 的 安全 性 规约 到 特定 的 困难 问题 上 。 在 已 


密码 和 


单 、 速 度 快 、 理 论 相对 成 熟 ， 因 而 在 许多 实际 中 应 用 ， 特 别 是 ”有 的 伪 随 机 序列 生成 方法 中 ， 基 于 线性 反馈 移 位 寄存 器 Clinear 
无 线 通 信 标 准 ， 如 IEEE 802.11b 和 蓝牙 。 伪 随机 序列 常 作为 流 ”feedback shift register, LFSR) 的 生成 方法 是 常见 的 方法 之 一 ， 然 
的 密 钥 流 ， 与 待 加 密 的 明文 流 进行 简单 的 “ 异 或 ”运算 得 。 而 存在 许多 安全 弱点 , 线性 复杂 度 低 。 为 了 抵抗 攻击 , 在 20 世 
到 密 文 流 。 这 是 一 种 “一 次 一 密 ” 的 加 密 方 式 ， 能 够 得 到 最 高 。 纪 80 年 代 初 ，BIumm 等 人 提出 了 基于 大 整数 分 解 问 题 的 可 证 
的 安全 性 一 完善 保密 性 。 因 而 密 钥 流 的 生成 成 为 了 流 密码 算法 明 安 全 的 伪 随 机 序列 生成 器 , 随后 , Kaliski 四 提出 了 另 一 种 方 
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的 关键 ， 当 前 ， 主 要 的 密 钥 流 生成 器 都 是 基于 伪 随 机 数 生成 器 。 其 安全 性 依赖 于 离散 对 数 问题 的 难 解 性 。 Alexi 56 ASH H 


Hj 


< 


收 稿 日 期 :2018-05-18; 修 回 日 期 :2018-07-11 基金 项 目 :国家 自然 科学 基金 资助 项 目 (61472472) ; 西安 邮电 大 学 研究 生 创新 基金 资助 项 目 (CXJJ2017014) 


作者 简介 : AA 〈1993-)， 男 ， 陕 西 延 实 人 ， 硕 士 研究 生 ， 主 要 研究 方向 为 信息 安全 (1045571121(9qq.com); 郑 东 (1964-), 5, 教授， 博士 ， 主 要 研 


究 方向 为 密码 学 、 云 存储 安全 ; 任 方 (1981-)， 男 《通信 作者 )， 副 教授 ， 博 士 ， 主 要 研究 方向 为 密码 学 与 网 络 安全 (renfang 81(2163.com). 


201811.00159v1 


chinaXiv 


录用 定稿 R f, 


T RSA 问题 的 可 证 明 安 全 的 伪 随 机 序列 生成 方法 。 
忆 管 上 面 所 提 到 的 伪 随 机 序列 生成 方法 是 可 证 明 安全 的 ， 
但 它们 在 量子 攻击 [1 下 都 将 失去 原 有 的 安全 性 。 因 此 ， 设 计 基 
于 其 他 假设 的 伪 随 机 数 生成 器 显得 尤为 重要 ， 这 也 是 近年 来 抗 
量子 密码 技术 研究 的 方向 之 一 。 最 早 提出 抗 量子 攻击 的 伪 随 机 
序列 生成 器 是 Impagliazzo 等 人 [sl, 提 出 了 基于 子 集 和 问题 的 可 
证 明 安 全 的 伪 随 机 序列 生成 方法 。 之 后 ，Fisher 和 SternB 久 提出 
了 一 种 基于 校 验 子 译 码 (SD) 问 题 的 伪 随 机 序列 生成 器 ， 但 是 存 
在 两 个 缺陷 :运算 速度 慢 ,用 于 计算 校 验 子 的 矩阵 占用 内 存 大 ， 
因此 难以 得 到 应 用 .Gaboritt9 等 人 在 2007 年 提出 了 新 的 方案 ， 
称 为 SYND, 是 对 文献 外 的 一 种 改进 ， 并 将 其 安全 性 规约 到 SD 
问题 。2011 年 , Mezianil00 等 人 利用 海绵 结构 提出 了 一 种 新 的 基 
于 校 验 子 译 码 问题 的 伪 随 机 序列 生成 方法 ， 称 为 2SC。 这 种 密 
码 结构 相 比 于 SYND， 在 性 能 指标 上 更 加 有 效 ， 而 且 只 需 小 的 
密 钥 大 小 和 初始 向 量 就 可 以 获得 较 高 的 安全 级 别 。 但 是 其 最 大 
的 缺点 是 需要 大 的 矩阵 。2016 年 ，Gaboritt 等 人 基于 Rank 
Metric 码 的 校 验 子 译 码 问题 的 困难 性 构造 了 一 种 伪 随 机 序列 生 
成 器 。 

本 文 重新 考察 了 由 Meziani 等 人 提出 的 2SC 方案 ， 提 出 了 
一 种 对 2SC 改进 的 高 效 算法 。 保留 了 海绵 结构 ， 使 得 密 钥 和 初 
台 向 量 较 短 。 相 比 于 2sc， 本 文 握 弃 了 将 码 字 编码 为 正则 字 M31 
的 过 程 ， 而 使 用 哈 希 算法 中 压缩 函数 的 构造 思想 ， 将 其 转换 为 
一 种 可 以 规约 为 正则 字 校 验 子 译 码 问题 的 编码 方式 。 从 而 使 得 
伪 随机 序列 生成 速度 更 快 。 
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1 ”编码 理论 


本 节 主 要 回顾 了 基于 编码 的 密码 学 基础 ， 简 单 描述 了 编码 

蛙 论 中 的 常见 困难 问题 ， 最 后 介绍 了 基于 编码 的 哈 希 函数 。 

131 线性 分 组 码 
有 限 域 太 上 的 一 个 (n,k) 线性 分 组 码 C 定义 为 n Ht s 


间 E? 的 一 个 k 维 线性 子 空间 。 


中 E? 中 的 向 量 称 为 字 , 而 C 


中 的 向 量 称 为 码 字 (codeword), n 称 为 分 组 码 的 码 长 , k 称 为 分 
组 码 的 维 数 。 
定义 1 一 个 (nk) 线 性 分 组 码 C 的 生成 矩阵 是 一 个 kxn 
的 矩阵 G ， 其 中 G 的 行 向 量 构成 了 C 的 一 组 基 。 
线性 分 组 码 C 的 生成 矩阵 G 不 唯一 , 但 是 不 同 的 生成 矩阵 
可 以 通过 初等 行 变换 相互 转换 ， 即 若 G 是 C 的 一 个 生成 矩阵 ， 
尸 是 一 个 初等 矩阵 ， 则 PG 也 是 C 的 一 个 生成 矩阵 。 
定义 2 ”一 个 (nk) 线性 分 组 码 C 的 校 验 矩 阵 是 一 个 
(n-k)xn BABERE nr, JC H 的 任意 行 向 量 与 C 的 生成 矩阵 G 
的 任意 行 向 量 正 交 ， 即 uGT =0。 
线性 分 组 码 的 校 验 矩 阵 不 唯一 且 可 以 通过 初等 行 变换 相互 
转换 。 长 为 n 的 向 量 C C 的 一 个 码 字 的 充分 必要 条 件 是 
Hc? -= 0。 对 于 任意 的 字 c ， 将 HcT MOS C 的 校 验 子 。 
定义 3 YEA BRI PRA EE E. unes), 
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138] 


v= (vi vov.) 的 Hamming 距离 d(u,v) Z XH u 和 v 的 不 同 分 
mus ga(wv)2t:u zv. 

mu 的 Hamming 重量 wu) xz 3.79 u 的 非 零 分 量 的 个 数 ， 
码 C 的 非 零 码 字 的 最 小 Hamming 重量 称 为 C 的 最 小 距离 ， 记 
作 dnin。 码 的 最 小 距离 决定 了 码 的 纠 错 能 力 ， 一 般 来 说 , 线性 
分 组 码 的 纠 错 能 力 1 满 足 。 

定义 4 给 定 长 度 为 n 重量 为 w 的 字 x ,将 其 转换 成 w 个 长 
EH n/w 的 块 , 每 一 块 都 有 固定 的 “1”, 称 这 样 的 码 字 为 正则 
学 。 
1.2 ”困难 问题 

在 基于 编码 的 密码 学 中 ， 其 安全 性 大 多 都 规约 到 以 下 困难 
问题 中 。 

Q1 校 验 子 译 码 问题 (Syndrome Ddecoding, SD) 

AIRE E ERA (n-k)xn 的 矩阵 石 ， 向 量 


Tu 
| 


EH 小 


se Py“ ， 整 数 w>0， 问 是 否 存在 一 个 字 xe Fy ， 其 


于 等 于 w , fi pls. 
Q2 寻找 码 字 问 题 (Codeword Finding, CF ) 


给 定 有 限 域 fy 上 的 一 个 (4 一)xn 的 矩阵 万 ,整数 w> 0， 


Jml 
mud 
im 


小 于 等 于 w ,使 


问 是 否 存在 一 个 非 零 的 字 xej- A 


Hx! 20. 
SD 问题 和 CF 问题 在 文献 [14] 中 已 被 证 明 是 NP- 完 全 问题 。 
SD 问题 的 一 个 特例 就 是 RSD 问题 ， 该 问题 在 文献 [13] 中 证 明 
为 NP- 完 全 问题 ， 体 描述 如 下 。 
Q3 正则 校 验 子 译 码 问题 (Regular Syndrome Decoding,RSD) 
给 定 有 限 域 太 上 的 w 个 (n-k)xn/w JB H; , pfi 


se Pr， 整数 w>0， 问 是 否 存在 Ww B hh dH; 


HE, (Es 等 于 这 些 向 量 之 和 。 
13 ”基于 编码 的 Hash 函数 构造 

Hash 函数 的 构造 中 , 最 核心 的 部 分 是 压缩 函数 8 。 基 于 编 
码 困难 问题 的 压缩 函数 8 的 构造 方法 如 下 。 

随机 选择 一 个 (nh 人) 码 字 x ， 其 中 : 


n-22",k-zn-mt a) 
选择 正 整数 w|n ， 显 然 有 
w-2" (m«m) (2 
另 取 
ja gn (3) 
w 


则 可 以 将 长 度 为 n 的 每 一 个 字 分 成 等 长 的 w 个 块 ,每 一 块 
包含 1 个 比特 。 
随机 选取 一 个 (n 一 xn 的 校 验 矩阵 矿 , 可 以 将 五 分 成 w 
ATHERE, BU 


H - (H, H5, -H,)) (4) 
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其 中 每 一 个 子 矩 阵 


H; 2j i12. w jz(i-1renG-10e2.-i) — 6) 
hi; JERE H 的 第 j 列 。 
8€: FE SE, 
e-wlogb,r2n-k-mt (6) 


对 于 任意 的 Ye 故 , 将 工 也 按照 上 述 的 划分 方法 分 成 W 个 


He, Boxe, sx), JE x e goth, 将 Xi 转换 成 0 至 1-1 


zip, WFE H, i5 xem], gu - Dex el, 计算 


" 
z=% hli- +x; el, num 
i=1 


数 的 输出 : 


g(x)=z (D) 
述 的 压缩 函数 8 的 输出 等 价 于 计算 一 个 长 为 1 ， 
重量 为 w 的 正则 字 的 校 验 子 ， 即 对 于 任意 的 g), 存在 正则 字 


定理 1 


c ， 使 得 Hc! = g(x)。 证 明 参 考 文献 [15]。 
2 ”基于 Sponge 函数 的 伪 随 机 序列 生成 方法 -2SC 


函数 (海绵 函数 ) 
Sponge 函数 最 先 

哈 希 函数 设计 提供 了 一 种 新 的 方法 。 它 使 用 有 限 的 状态 ， 
任何 长 度 的 输入 位 元 流 ， 然 后 可 以 满足 任何 长 度 的 输出 。 

Sponge 函数 由 三 个 部 分 组 成 ， 如 图 1 所 示 。 

a) 一 个 内 存 状态 S$， 包含 5 个 位 元 。 内 存 状态 会 分 成 两 个 
区 块 ， 尺 《大 小 为 和 位 元 ) 与 C〈 大 小 为 C=5 一 7 位 元 )。 这 里 
的 参数 7 又 叫做 转换 率 (bitrate )， 而 C 叫做 容量 (capacity). 

b) 一 个 能 置换 或 者 转换 内 存 状态 ， 

c) 一 个 填充 函数 (padding function). P 。 填 充 函 式 会 在 输 
入 里 面 增加 足够 的 长 度 , 让 输入 的 位 元 流 长 度 变 成 7 的 整数 倍 。 
因此 填充 过 后 的 输入 可 以 被 切 成 长 度 为 7 的 整数 个 分 段 。 

Sponge 函数 的 具体 运行 过 程 如 下 : 

a) 5 先 初 始 化 为 零 。 

b) 输入 经 过 填充 函 式 处 理 。 

c) 填充 后 输入 的 前 7 个 位 与 RR 进行 异 或 运算 。 

d) 5S 经 过 函 式 了 转换 成 (5)。 


2.1 Sponge È 


等 人 在 文献 [16] 提 出 , 它 为 迭代 
接收 


Peeters 等 


固定 大 小 的 转换 函 式 f. 
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段 (“ 挤 出 ”)， 具 体 过 程 如 下 : 
a) 通过 absorbing 阶段 得 到 新 的 内 存 状 态 ， 此 时 R 表示 输 
出 的 前 了 个 位 元 。 
b) 如 果 需 要 更 多 输出 ， 则 把 8 转换 成 A(S) 。 
c) 此 时 R 则 表示 输出 的 下 rx 个 位 元 。 


这 一 过 程 会 重复 到 满足 输出 所 需要 的 长 度 为 止 。 需 要 注意 
的 是 ， 输 入 绝对 不 会 与 C 这 部 分 的 内 存 作 异 或 运算 ， 而 且 这 一 
部 分 内 存 也 不 会 直接 被 输出 。 这 一 部 分 的 内 存 仅仅 只 和 转换 函 
式 相 关 。 在 杂凑 里 面 ， 防 止 撞击 攻击 (Collision attack) 或 者 原 像 
攻击 (preimage attack) 是 依靠 这 段 内 存 做 到 的 。 


minininin 
HHHH 


S absorbing | squeezing 

图 1 Sponge 函数 结构 
Fig.l Sponge function structure 

2.2 2sc 方案 结构 

基于 上 节 所 提 到 的 Spange K 

伪 随 机 序列 生产 方法 。 


函数 ，Meziani 等 人 设计 了 一 种 
4 K FU IV. 分 别 表示 密 钥 和 初始 向 量 


内 部 状态 5 的 大 小 5s=wlog 2(n/w) 其中 


&r-|&|-|| . 


n» W.n[lwz2l. 
Initialization 初始 化 函数 f 通 
IV. ， 计 算 并 且 返 回 初始 状态 ， 


过 输入 密 钥 入 和 初始 向 量 
定义 如 下 : 


fi Fx ell s p; (8) 


5:2) f (x1)= A "s lo*je "EZ lo: )) 


其 中 :“|” 表 示 级 联 ，“ 0* ”是 大 小 为 c 的 全 零 向 量 。 flle 
a 由 () 的 前 7 位 比特 ， {9 表示 f () iil c 位 比特 。 校 验 子 
映射 有 i 定义 如 下 : 

x2 fix)e d() nr (9) 


这 里 , 函数 x 一 (x) 指正 则 编码 , 将 8 位 的 字符 串 转 换 成 


e) 如 果 填 充 后 输入 还 有 剩余 ， 下 一 位 则 与 上 一 步 R 进行 
异 或 运算 。 
D 5 转换 成 f(5)。 


这 个 过 程 一 直 重 复 到 所 有 的 输入 都 用 完 为 止 ， 称 为 
absorbing 阶段 (在 海 棉 的 壁 喻 里 面 , 表示 被 函数 “吸收 ”了 )。 
输出 块 Z 的 数量 由 用 户 选 择 ， 这 一 阶段 称 为 squezzing W 


长 度 为 n 和 重量 为 w 的 正则 字 。 矩阵 H 是 大 小 为 xn 的 二 元 
随机 矩阵， 该 初始 化 步 又 需要 计算 两 个 函数 并 进行 两 个 异 或 运 
算 。 因 此 ， 当 每 个 安全 级 别 选择 最 优 参数 (ms,w) ， 那 么 比 
SYND 方案 更 加 有 效 。 通 过 初始 化 过 程 得 到 初始 状态 e0 。 
Update 在 此 步骤 中 ， 将 使 用 一 个 新 的 随机 函数 8 来 更 新 
内 部 状态 (比如 N vo. 8 运行 的 次 数 是 由 用 户 选 择 的 ， 更 新 的 
次 数 也 因此 影响 着 结构 的 安全 性 和 效率 。 函 数 8 的 定义 如 下 : 
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其 中 : H, RIS 
则 编码 ， 与 初始 
Squeezing 通过 更 新 过 
为 7 比特 密 钥 流 z; (i21), 


sl(eof 


部 状态 el ，e1 的 前 7 位 输 
Fi>2，e = g(ei 1) ,其 中 ;是 更 新 状态 下 8 的 i yak 


a) 对 二 


b) 对 了 


代 的 输出 。 


3 


上 述 所 描述 的 


是 一 个 sx 的 二 元 随机 和 矩阵， 函数 xx 9 dx) tE 


8:Fj—F; 


x > a(x) - g(x): H3 w 


化 步骤 中 的 过 程 相 同 。 
程 得 到 e;，2SC 最 终 产生 每 组 大 小 

mA F: 
,表示 初始 状态 eg 经 过 更 新 函数 得 到 新 的 内 


出 即 为 zl o 


结构 如 图 


2 所 示 。 


一 种 基于 海绵 函数 的 快速 伪 随 机 序列 生成 方法 


在 实验 仿真 过 程 中 发 现 上 节 所 介绍 的 伪 随 机 序列 生成 方法 


| 


un 


量 时 


正则 编码 Niederreiter 变换 [1， 即 工 一 glx) 过 程 中 
间 ， 因 此 希望 通过 


需要 消耗 
男 一 种 编码 方式 将 其 性 能 提高 ， 同 时 


性 。 基 于 编码 的 哈 希 函数 的 构造 方法 思想 将 上 述 方 
述 如 下 。 


DEBA X, 
大 小 为 b 比特 ， 本 文 首先 通 


1 输出 站， 将 YoYo 


KI 


3 所 


f m 
Hi ， 将 其 分 成 w 个 大 小 为 wpx22 TIERE Hy Hos, 


ZN o 


Initialization 


Update and sequeezing 


图 2 2SC 密 钥 流 生成 器 结构 图 
Fig.2 2SC key stream generator 

Xw 组 成 ，X; (1<i<w) 的 
过 函数 f 来 给 每 个 块 提 供 数 据 ， 得 


了 异 或 运算 最 终 得 到 输出 。 结 构 如 


w ER x, X2, — 


o Yw 进 和 


图 3 f(x) 函数 结构 


Fig.3 f(x) function structure 


数 


体 描述 为 : 选取 大 小 为 wpx22 的 二 元 随机 拢 阵 


Hy 


: 一 种 基于 海绵 函数 的 快速 伪 随 机 序列 生成 方法 


(H-H|Hal- 


"m, n? er , 


A X; BERA S 得 到 y 


ChinaXiv 合 作 期 HFI, 


第 37% 


b 
-| 五 ,, ), THERE CR n 其 


JT J.GHm 


S x; 的 十 进 第 


7 E{01…22 —1} o 


pum 


, 每 


,= AD ,每 一 个 上 则 有 22 种 可 能 , 按照 


上 述 方法 重新 定义 了 函数 有 和 函数 8 : 


fiG)- ap? Daf) D- Da) aD 
g(x)- 5? est? D. Db (2 
其 中 : A 和 B 是 大 小 为 wbpxw.22 的 二 元 随机 矩阵，hi 和 B; 分 


HÆ AJ BKIT, aD MERER A 的 第 ;个 子 矩 阵 的 第 
j+1 列 ，b 中 则 表示 和 矩阵 B 的 第 i 个 子 矩 阵 的 第 +1 列 。 
通过 以 下 的 一 个 例子 将 上 述 的 方法 展示 首先 , 令 w=3， 
b=2 . ER A 则 是 (3.2)xB.22)=6x12 阶 和 矩阵 。 随 机 选取 一 个 
符合 上 述 要 求 的 矩阵 4 如 下 : 
[a a(Pa(Daf9 | aa PaPa | aa PaPa | 
101 O 1010 1 10 I 
001 0 0010 1] 10 I 
A-|1 10 0 0100 0 1 1 I 
100 1 1 11 1 0000 
0 1 1 O 1 101 101 0 
[1000 0101 0001 | 
BAA x= [10 | 01100], 44 x p w 组 并 表示 为 十 进 制 ， 
W x'- [210] 38 5 z = (x 1) 105 ,计算 得 到 zl =3， 


25-6, 24-9, 


s(x)= 


置 ， 即 z=[0010|010011000]。 因 此 可 以 验证 : 


在 二 进 制 记 数 法 中 ，Z; 表示 z 的 非 零 项 的 位 


a? ea? ea? =[001111F =A-z" (3) 


4 ”安全 性 分 析 


本 章 将 从 两 个 
难 逆向 恢复 出 密 钥 K 和 初始 向 量 IV ;而 在 实际 攻击 中 ， 需 要 
敌手 解决 SD 问题 ， 目 前 


r7 


度 来 分 析 该 算法 的 安全 性 。 在 理论 上 ， 很 


己 知 的 有 两 种 可 以 有 效 的 针对 SD 问 


题 的 攻击 : 信息 集 译 码 攻击 (ISD) 和 广义 的 生日 攻击 (GBA). 


41 理论 安全 性 


的 函数 DD : 


D(x) = 


t 


第 3 节 所 描述 的 转换 函数 PG) 和 8g(z) ， 定 义 一 个 通用 


gp eat? D- Dae 


Vx = (x35, Xy) E F7" (4) 
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大 


Fr 


第 j+1 列 ( j=0,],…2? 


a) 对 于 每 一 个 输入 码 字 x ， 
D(x)= A: zT o 

b) y 
于 或 等 于 Ww ， 使 得 4.z7 =y. RE 


fll n =w22 的 实例 化 。 


Ai 是 A 的 子 矩阵 ， 


在 这 个 转换 过 程 中 ，A 是 大 小 为 wb xw.2? B —76 B8 BUE 


aj? WlzzsAgIE A 的 第 i 个子 和 矩阵 的 


赵 


$5, 


E 


1). 


要 证 


明 两 点 : 


需 


存在 一 个 正则 字 z ， 使 得 


RSD 问题 。 


证 


为 恰 为 wbx 25 , 


对 


分 别 表示 其 非 零 项 的 位 置 〈 
TE (i - 1p +1 RI j2^ 之 间 是 唯一 的 值 )。 


Af X x m (soos 


zi -(x +1)+ (i— 1)22 


Az! 


b) 


的 正则 字 z ， 使 得 A-z" —D(x). 
D(x) 的 敌手 ， 
阵 4 和 一 个 值 y= D(x)=A.z7， 同 样 的 敌手 便 可 以 输出 正则 字 


= D(x) REX 等 价 于 寻找 一 个 正则 字 Zz ， 习 


Tu 


EHE 小 


Æ RSD (n,r,w) 3} r = wb 


天 


此 ， 改 进 后 方案 的 安全 


的 列 了 从 ao,a0D a 


性 可 以 规约 到 


一 个 子 矩 阵 A; 的 大 小 


(2^-0 
( 


EHOW, $ ZZ Zw 


明 a) 首 先 4= 角 | 和 |…|4v， 
每 个 子 矩 阵 

于 正则 字 Z ， 长 度 n=w22 ， 重 
大 


; WA 


xeszg-l mod 2^ 
X% =Z —1 mod 2? 


为 这 个 字 是 正则 字 ， 所 以 每 个 zi 


Xy) , Wx 与 2 存在 这 样 


的 关系 : 


z 到 Xx 的 逆向 变换 如 下 所 示 : 


(5 


X, 8z,-1 (nod ») 


因此 ， 很 容易 验证 : 


ES aC [5] aq ORRE) aD 


b KPE b " b 
= afa D mod? ) Daf? 1) (mod 2 ) 9... Oa» 1) (mod 2") 


=a eat? e... e aC 


-DO 


az 


正明 了 对 于 每 个 输入 XX ， 
假设 存在 一 个 可 以 道 


可 以 找到 一 个 重量 为 w 
向 求 出 


即 给 定 y= D(z) ， 敌 手 输 出 x 。 那 么 给 定 一 个 矩 


z 。 这 正 是 RSD (n,7,w) 的 一 个 实例 ， 对 于 r=wb 和 n=w22? 。 


因此 , 可 以 把 该 算法 的 安全 性 规约 到 RSD 问题 的 


困难 性 


EE, 而 


RSD 问题 同 SD 问题 一 样 为 NP 完全 问题 。 
42 ”实际 安全 性 


的 输出 


Zo -AM MERIH 
RSD 问题 的 
RSD 问题 和 SD 问题 一 样 困 
完全 指数 型 


都 是 


在 实践 中 ， 敌 手 将 面临 两 个 问题 


但 无 法 


一 个 实例 。 


统 : 信 


AR 


得 到 剩余 的 c=b5 一 r 位 ， 容 量 
也 猜测 了 这 些 比特 ， 对 手 也 必须 解决 
对 于 一 个 选择 适当 
难 。 事 实 上 ， 
的， 只 有 两 种 算法 可 以 攻击 基于 SD 问题 的 系 
$i ASD) 00 和 广义 生日 


方面 ， 敌 手 获得 7 位 
量 越 大 ， 系 统 越 安 


的 参数 集 ， 有 效 解决 
所 有 已 知 的 SD 攻击 


算法 (GBA) US, ÆX 


EN 
注意 WU? 


等 : 一 种 基于 海绵 函数 的 快速 伪 随 机 序列 生成 方法 


ChinaXiv 合 


献 [19] 中 提出 了 针对 基于 编码 的 密码 系统 的 最 新 的 GBA 算法 
将 用 于 选择 2SC 的 安全 参数 。 


二 期刊 


E I 


还 有 一 种 攻击 称 为 Memory trade-offattacks， 这 种 攻 


击 最 初 是 在 [20] 中 引入 的 , 作为 攻 


避免 这 种 攻击 , 初始 向 量 IV. 应 该 至 少 和 密 钥 天 一 样 
是 密 钥 的 两 倍 。 
根据 这 一 节 及 前 


少 应 该 


和 本 文 的 方案 ， 


仿真 对 比 。 


表 1 2SC 方案 和 本 文 方案 的 结构 对 比 


历 节 的 描述 ,本 文 从 结构 上 对 比 
如 表 1 所 示 。 在 下 一 章 将 对 其 进行 


击 分 组 密码 的 通用 方法 ,为 了 


K, 而 3 至 


2SC 方案 
L 体 的 实验 


Table 1 Structural comparison between 2SC scheme and proposed scheme 


方案 循环 结构 编码 算法 依赖 的 困难 问题 问题 性 质 特点 

2SC Sponge 结构 Niederreiter 变换 SD 问题 NP 完全 HBK 

本 文 Sponge 结构 基于 编码 的 hash 变换 RSD 问题 NP 完全 ” 耗 时 较 短 
5 ”实验 仿真 


对 改进 后 的 伪 随 机 序列 生成 算法 进行 分 析 ， 


2SC 算法 进行 比较 ， 同 时 测试 4 
算法 的 效率 分 析 


5.1 


选取 最 优 值 5=1log2(n/w)=8 , x14 
RSD 问题 的 复杂 


于 4 章 所 提出 的 方案 , 利 月 
。(n,7,w) 参数 选 取 必 须 在 已 知 的 攻击 下 


。 首 先 ， 根 据 Time Memory Trade-Off attacks， 


与 原始 的 


E 成 序列 的 随机 性 。 


H Python 语言 对 其 过 程 进行 仿 


X 


高 效率 和 高 
S 至 少 应 


s=r+c= wlog2(n/ w)2 2|IV| 


I| - v] - 


度 至 少 为 24 。 实 


(6 


F 每 个 安全 级 别 4， 解 决 


验 测试 了 不 同安 全 级 别 下 , 产 


生 rxN CN 表示 循环 次 数 ) 比特 伪 随 
1 给 出 了 在 几 个 安全 级 别 上 ， 通 过 选取 


获得 序列 的 测试 结果 。 需 要 注意 的 是 ， 在 仿真 实现 过 和 
未 使 用 任何 特定 
， 可 以 找到 提供 


使 用 


了 随机 
偶 校 验 和 矩阵 为 准 


的 二 元 和 矩阵， 而 
循环 矩阵 时 


0], 


m2 


数 [ 


统 为 windows10， 主 频 2.3GHz。 对 
IWT 10 次 产生 rx10 位 的 数据 。 
的 时 间 相 应 的 增加 ， 
将 2SC 算法 实现 结果 与 新 的 算法 实现 结果 ; 


增 大 ， 
表 3 


生成 序列 


BN =100 。 


表 2 可 以 得 到 以 下 结论 。 


的 结果 在 Pycharm 中 利用 
于 不 同 的 安全 级 别 ， 
可 以 看 到 ， 
但 是 安全 


对 了 


几 序列 所 需要 的 时 间 。 表 
最 优 的 参数 集 (n,7,w) 而 
时 中 ， ZN 


的 结构 。 但 是 当 奇 
相同 安全 级 别 的 参 


Python 所 实现 ， 操 作 系 
通过 循 
随 着 校 验 和 矩阵 即 的 


性 也 随 之 提高 。 


F 80 bit 的 安全 级 别 ， 


FE 行 对 比分 析 ， 


生成 


9.6x103 bit 的 伪 随 机 序列 , 本 文 的 方法 比 与 原先 的 2SC 方法 速 


度 提 高 了 3.19 fii 
的 伪 随 机 序列 ， 本 文 的 方法 比 与 原先 
3.02 倍 ; 对 于 160bits 的 安全 级 别 ， 


对 于 120bit 的 安全 


级 别 ， 


生成 1.44x104bit 


的 2SC 方法 速度 提高 了 
生成 1.92x104bit 的 伪 随 机 
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序列 , 本 文 的 方法 比 与 原先 


R R4, F: 


的 2SC 方法 速度 提高 了 5.75 fi 对 


一 种 基于 海绵 函数 的 快速 伪 随 机 序列 生成 方法 
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6.72x109 bis 的 伪 随 机 序列 进行 测试 ， 测 试 分 为 6 组 ， 每 组 的 


T 400bit 的 安全 级 别 ， 生 成 3.04x104bit 的 伪 随 机 序列 ， 本 文 


的 方法 比 与 原先 


fj 2SC 方法 i 


速度 提高 了 4.5 倍 。 


表 2 不 同安 全 级 别 下 的 测试 结果 


Table 2 Test results under different security levels 


安全 级 别 n S w c [Keyl/bits 时 间 /s 
80 8192 256 32 160 96 0.213 
120 12288 384 48 240 144 0.485 
160 16384 512 64 320 192 0.835 
200 20480 640 80 400 240 1.332 
240 24576 768 96 480 288 1.868 
280 | 28672 896 112 560 336 2.569 


注 : 测 试 时 间 并 未 计算 初始 化 时 间 
表 3 不 同安 全 级 别 下 性 能 对 比 


Table 3 Performance comparison under different Security levels 


安全 级 别 n sS w C |Key/bits 2SC/s Ours 比率 
80 8192 256 32 160 96 7.6022 2.382 3.19 
120 12288 384 48 240 144 14.756 4.886 3.02 
160 16384 512 64 320 192 44.663 7.765 5.75 
400 32768 1024 128 720 304 137.682 30.596 4.50 
表 4 随机 性 测试 结果 
Table 4 Test results of Randomness 
测试 项 1 组 测试 值 2 组 测试 值 3 组 测试 值 4 组 测试 值 5 组 测试 值 6 组 测试 值 
Frequency 0.644081 0.096914 0.153868 0.849309 0.379944 0.921932 
Block Frequency 0.328677 0.800956 — 0.106402 — 0.668934 0.250088 0.867440 
Cumulative Sums 0.782085 0.106226 0.207897 0.812076 0.572709 0.667091 
Runs 0.107008 — 0.821789 0.782522 0.057691 0.206671 0.275709 
Longest Run of Ones 0.270825 0.739232 0.348457 0.341358 0.566602 0.116106 
Rank 0.675960 | 0.041286 — 0.284170 — 0.251623 0.275808 0.984463 
Discrete Fourier Transform 0.435383 0.502925 0.183317 0.129989 0.876031 0.212023 
Non-periodic Template 0.376496 | 0.237213 — 0.022931 0.524622 0.510644 0.630072 
Overlapping Template 0.663812 — 0.234041 — 0.163913 0.962218 0.800859 0.441365 
Universal Statistical 0.583128 — 0.324725 0.147473 0.491854 0.835538 0.850540 
Approximate Entropy 0.609971 0.290362 0.237763 0.762622 0.564112 0.006234 
Random Excursions 0.226235 0.343650 — 0.095483 0.502313 0.790699 0.425471 
Random Excursions Variant 0.636178 — 0.049265 0.496225 0.385500 0.061161 0.566982 
Serial 0.483546 | 0.272573 0.524176 | 0.277855 0.873444 0.694912 
Linear Complexity 0.206177 0.978800 — 0.885160 0.820437 0.862190 0.361264 


Hes 有 下 划 线 的 测试 值 表示 未 通过 测试 
5.2 NIST SP800-22 测试 分 析 


对 算法 产 和 4 


国 国家 标准 


试 软件 20。 
XT 106 bit, 


中 为 随机 的 ; 
试 中 为 非 随机 的 。 


E 的 伪 随 机 序列 进行 随机 性 测试 ， 测 试 软件 为 
与 技术 研究 所 的 NIST SP800-22 测试 包 sts-2.1.1 测 


lu 


gs 
~ 


软件 的 测试 项 目 包含 15 项 ， 序 列 的 测试 长 度 需要 


现 用 


当 测 试 值 P_value > 0.01 时 ， 
AAA P value < 0.01 时 , 认为 序列 在 该 项 的 测 


认为 序列 在 该 项 测试 


sts-2.1.1 测试 软件 对 算法 产生 的 


长 度 为 105 bits。 测 试 结果 如 表 4 所 示 。 

测试 结果 可 以 看 出 ，15 个 测试 项 的 P-value 值 只 有 
测试 值 未 通过 测试 ， 其 余 都 大 于 显著 性 水 平 4 Co =0.01 )。 其 
H, Frequency Test 测试 均值 大 于 0.5， 表 示 伪 随机 序列 中 0 和 
1 的 个 数 接近 相等 ,序列 的 均衡 性 较 好 ;Runs 测试 均值 为 0.375， 
说 明 序列 中 游程 数 接近 真 随机 序列 中 游程 的 个 数 ，Serial 测试 


个 


均值 大 于 0.5， 说 明 指 定 长 度 的 子 序列 出 现 的 次 数 趋 于 等 概 ; 
Cumulative Sums 测试 值 3 个 都 在 0.6 UE, 说明 0 、1 的 分 布 
较为 均匀 ，Linear Complexity 测试 值 4 个 都 在 0.8 以 上 ， 说 明 


序列 的 复杂 度 较 高 。 因 此 ， 本 文生 成 的 伪 随 机 序列 具有 良好 的 
随机 特性 。 
5.8. ”相关 性 分 析 

序列 的 自 相 关系 数 与 互相 关系 数 是 评价 序列 随机 性 的 常用 
Bira, ABENEZ 5b,, ， 长 度 为 N , 则 所 得 序列 的 自 相 关 
系数 定义 如 下 。 


N-m 


ye 


其 中 ，m 为 步 长 ,序列 的 自 相 关系 数 与 步 长 有 关 ， 当 步 长 m 变 
化 时 ， 自 相关 系数 变化 越 小 ， 说 明 序 列 的 随机 性 能 越 好 。 
当 步 长 m 为 0 时 的 理论 值 为 0.5， 其 余 步 长 时 ， 理 论 值 为 


ac(m)= (7) 


0.25 ” 设 两 个 不 同 的 伪 随 机 序列 分 别 为 mr 和 bon ， 
n= 二 1,2…,N ， 序 列 b 和 bz, 的 互相 关系 数 定义 为 : 
N-m 
L > 有 :Drm 0<m<N 
c(m)-. (1) 
-N<m<0 


N-m 
1 
T S bun 4 bzi 
il 


互相 关系 数理 论 值 为 0。 序 列 的 自 相 关 和 互相 关系 数值 越 
接近 理论 值 ， 说 明 序列 的 随机 性 越 好 。 实 验 随 机 选取 了 两 组 长 
度 为 N = 5000 的 伪 随 机 序列 cl 和 c» 进行 测试 , 实验 结果 如 图 
4 所 示 。 

实验 结果 显示 ， 序 列 的 自 相关 性 及 互相 关 性 分 布 均 接近 于 
里 想 状 态 ， 说 明 本 文 方法 所 得 序列 之 间 相 关 程 度 较 小 ， 具 有 较 


t 


o 


好 的 随机 性 。 
5.44 平衡 性 分 析 
设 伪 随 机 序列 的 长 度 为 N ,序列 中 0 和 1 的 个 数 分 别 为 已 


和 QQ ， 则 序列 的 平衡 度 定 义 为 
RN) 


平衡 度 的 值 E(N ) 越 小 ， 说 明 该 序列 中 的 0 1 的 个 数 越 

近 ， 随 机 性 越 好 。 实 验 选 取 了 三 组 长 度 为 N =38400 的 生成 
序列 cl C3 和 cs 进行 测试 ， 图 5 给 出 了 实验 所 得 序列 的 平衡 
度 分 析 。 


(9) 
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序列 c1 自 相关 系数 说 明 序列 的 随机 性 越 好 。 实 验 所 测序 列 的 长 度 均 为 N = 38400 , 
! i 对 三 组 序列 进行 游程 统计 测试 ， 有 具体 统计 情况 如 表 5~7 所 示 。 
05 | 表 5 ”序列 cl 的 游程 统计 
$ 0.0 T mE E Table 5 Travel statistics of sequence C] 
游程 长 度 
-0.5 游程 
-500 0 500 1 2 3 4 5 6 7 8 
r O 4788 2422 1209 568 312 153 78 48 
序列 c2 自 相关 系数 1 4842 2356 1212 593 328 16 68 36 
! l 0/1 0.9888 1.0280 0.9975 0.9578 0.9512 1.1250 1.1471 1.3333 
2 | 实测 值 0.5012 0.2487 0.1260 0.0604 0.0333 0.0150 0.0076 0.0044 
E "A mE 理论 值 0.5000 0.2500 0.1250 0.0625 0.0313 0.0156 0.0078 0.0039 
表 6 序列 Ca 的 游程 统计 
0300 0 500 Table 6 Travel statistics of sequence C2 
" : 游程 长 度 
序列 cl、c2 互 相关 系数 dx 1 2 3 4 5 6 7 8 
0 4855 2396 1168 607 323 155 74 46 
z us 1 4852 2485 1185 552 289 144 78 40 
pm u 0/1 1.0006 0.9641 0.9856 1.0996 1.1176 1.0763 0.9487 1.1500 
实测 值 0.5027 0.2527 0.1218 0.0600 0.0316 0.0154 0.0078 0.0044 
0300 0 500 理论 值 0.5000 0.2500 0.1250 0.0625 0.0313 0.0156 0.0078 0.0039 
: 表 7 序列 c3 的 游程 统计 
Lom 图 4 序列 cl 和 序列 c» 的 自 相 关 及 互相 关系 数 


Fig.4 Autocorrelation and cross-correlation coefficients of sequences C] 


Table 7 Travel statistics of sequence C3 


head 游程 长 度 

and sequences 游程 1 2 3 4 5 6 7 8 

序列 的 平衡 度 测试 0 4828 2358 1193 590 330 156 84 4 

| | 序列 1 | 1 4816 2403 1176 618 309 147 65 40 
a 序列 2 0/1 1.0025 0.9813 1.0145 0.9547 1.0680 1.0612 1.2923 1.0750 
c 0.020 上 序列 3 | 实测 值 0.5020 0.2478 0.1233 0.0629 0.0333 0.0158 0.0078 0.0043 
" z 理论 值 0.5000 0.2500 0.1250 0.0625 0.0313 0.0156 0.0078 0.0039 
O non! 根据 三 组 实验 结果 可 知 ， 生 成 的 伪 随 机 序列 的 游程 统计 接 
f eet n P PHP 近 理论 值 ， 其 中 0 和 1 的 个 数 接近 相等 。 不 同 游程 长 度 的 序列 
Vy, E E P a ; A T su B4B n T 
DU pe P aA ten tota Pe P dien US 。 因 此 本 文 实验 所 得 的 序列 符 

15000 20000 25000 j i ER 
" 6 ”结束 语 

图 5 序列 的 平衡 度 测试 本 文 提出 了 一 种 基于 海绵 函数 的 快速 伪 随 机 序列 生成 方法 ， 
PES. Sequence balance test 是 对 2sc 伪 随 机 序列 生成 方法 的 改进 。 该 方法 一 方面 使 得 密 钥 
实验 结果 表明 ,三 组 伪 随 机 序列 的 平衡 度 都 在 0.010 以 下 和 初始 向 量 长 度 缩短 ， 另 一 方面 将 码 字 编码 为 正则 字 的 过 程 转 
接近 于 0。 因 此 表明 序列 中 的 0 和 1 的 个 数 十 分 接近 ， 因 此 序 。 换 为 一 种 可 以 规约 为 正则 字 校 验 子 译 码 问题 的 编码 方式 ， 其 计 
列 的 性 能 稳定 ， 平 衡 度 良好 。 算 速度 相 比 于 原来 大 大 提高 。 实 验 仿真 结果 表明 本 文 的 方法 在 
55 ”游程 检验 相同 安全 级 别 下 将 比 原来 序列 生成 速度 至 少 提高 3 倍 ,NIST 的 

游程 即 伪 随 机 序列 的 一 个 子 序列 ， 由 连续 的 0 或 1 元 素 组 。 测试 结果 表明 本 文 方法 生成 的 伪 随 机 序列 具有 良好 的 随机 性 ， 


成 ， 其 前 一 部 分 和 后 一 部 分 的 元 素 均 和 该 元 素 不 局 
1 连续 出 现 的 个 数 称 为 游程 长 度 ， 随 机 序列 中 ， 任 意 长 度 的 序 
列 的 0 和 1 的 个 数 近似 相同 ， 其 中 游程 长 度 为 工 的 序列 约 占 总 
序列 长 度 的 1/2*， 实 验 生成 的 伪 随 机 序列 越 接近 理想 状态 ， 则 


， 其 中 0 或 


序列 的 自 相 关 性 、 互 相关 性 、 平 衡 度 、 游程 统 计 都 符合 理论 值 。 
同时 , 方案 的 安全 性 依赖 于 RSD 问题 , 这 使 得 该 方法 可 以 抵抗 
现 有 的 量子 攻击 。 
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